Embed Size (px)
DESCRIPTION
情報セキュリティ読本 四訂版 - IT 時代の危機管理入門 -. (第 6 章 情報セキュリティ関連の法規と制度). 第 6 章 情報セキュリティ関連の法規と制度. 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 情報セキュリティ関連制度. 第 6 章. 1. 情報セキュリティの国際標準. 1 ) 情報セキュリティマネジメントの国際標準 ISO/IEC 27000 シリーズ 2 ) セキュリティ製品の評価認証のための国際標準 ISO/IEC 15408 3 ) OECD 情報セキュリティガイドライン. - PowerPoint PPT Presentation
Citation preview
情報セキュリティ読本 四訂版
出典: 情報セキュリティ読本 四訂版 1
(第 6 章 情報セキュリティ関連の法規と制度)
情報セキュリティ読本 四訂版 - IT 時代の危機管理入門 -
出典: 情報セキュリティ読本 四訂版 2
第 6 章 情報セキュリティ関連の法規と制度
1. 情報セキュリティの国際標準
2. 情報セキュリティに関する法
律
3. 知的財産を守る法律
4. 迷惑メール関連法
5. 情報セキュリティ関連制度
出典: 情報セキュリティ読本 四訂版 3
1. 情報セキュリティの国際標準
1 ) 情報セキュリティマネジメントの国際標準 ISO/IEC 27000 シリーズ
2 ) セキュリティ製品の評価認証のための国際標準 ISO/IEC 15408
3 ) OECD 情報セキュリティガイドライン
第 6 章
出典: 情報セキュリティ読本 四訂版 4
1 ) ISO/IEC 27000 シリーズ
• 情報セキュリティマネジメントの国際標準– ISO/IEC 27000: 概要と用語– ISO/IEC 27001: 要求事項– ISO/IEC 27002: 実践のための規範– ISO/IEC 27003: 実装に関する手引き– ISO/IEC 27004: 測定に関する手引き– ISO/IEC 27005: リスクマネジメント– etc…
第 6 章 > 1. 情報セキュリティの国際標準
出典: 情報セキュリティ読本 四訂版 5
2 ) ISO/IEC15408
• セキュリティ製品の評価認証のための国際標準
• 機能要件と保証要件の集大成• 7 段階の評価保証レベル (EAL) を定義• ISO/IEC15408→ ( JIS 化)→ JIS X 5070• ISO/IEC15408(CC) に基づいて「 IT セキュ
リティ評価及び認証制度」が運用される
第 6 章 > 1. 情報セキュリティの国際標準
CC: Common Criteria ISO/IEC 15408 を制定するもとになった共通基準
出典: 情報セキュリティ読本 四訂版 6
3 ) OECD 情報セキュリティガイドライン
• 1992 年、 OECD (経済協力開発機構)により制定
• OECD 加盟国が尊重すべき情報セキュリティの基本方針
• 5 年ごとに見直し• 2002 年には、米国同時多発テロの影
響を受け、全面的に改正
第 6 章 > 1. 情報セキュリティの国際標準
参考) OECD 情報セキュリティガイドライン見直しに関する調査 http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html
出典: 情報セキュリティ読本 四訂版 7
2. 情報セキュリティに関する法律
1 ) 刑法2 ) 不正アクセス行為の禁止等に関する
法律 (不正アクセス禁止法)
3 ) 電子署名及び認証業務に関する法律 (電子署名法)
4 ) 個人情報の保護に関する法律 (個人情報保護法)
第 6 章
出典: 情報セキュリティ読本 四訂版 8
1 ) 刑法
• 2011 年の改正で、コンピュータ・ウイルスに関する罪が追加
– 電子計算機損壊等業務妨害罪– 電磁的記録不正作出及び供用罪– 電子計算機使用詐欺罪– 不正指令電磁的記録に関する罪
・ コンピュータやデータの破壊や改ざんには 刑事罰が科せられる
第 6 章 > 2. 情報セキュリティに関する法律
出典: 情報セキュリティ読本 四訂版 9
2 ) 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)
• 電気通信回線を通じて行われる不正アクセス犯罪を防止することが目的
• 不正アクセス行為と不正アクセスを助長する行為を処罰
【不正アクセス行為】– 他人の ID やパスワードを無断使用し不正アクセス
する– 直接侵入攻撃– 間接侵入攻撃【不正アクセスを助長する行為】– 他人のパスワードを許可無く他人に教える
第 6 章 > 2. 情報セキュリティに関する法律
参考)不正アクセス行為の禁止等に関する法律 http://www.ipa.go.jp/security/ciadr/law199908.html
出典: 情報セキュリティ読本 四訂版 10
3 ) 電子署名及び認証業務に関する法律(電子署名法)
• 電子署名(ディジタル署名)に署名や押印と同じ効力を持たせることが目的
• 電子署名により、電子政府や電子商取引における情報の真正性を証明
• 電子署名と電子証明書を規定し、さらに、認証業務や認証事業者についても規定
第 6 章 > 2. 情報セキュリティに関する法律
参考)電子署名、認証関連 http://www.meti.go.jp/policy/netsecurity/digitalsign.htm
出典: 情報セキュリティ読本 四訂版 11
4 ) 個人情報の保護に関する法律(個人情報保護法) ( 1 )
• 個人情報を取り扱う事業者の遵守すべき義務を規定
• 個人情報– 氏名、生年月日その他の記述により特定
の個人の識別が可能な情報• 本人の了解なしに個人情報の流用、売買、譲渡することを規制
第 6 章 > 2. 情報セキュリティに関する法律
出典: 情報セキュリティ読本 四訂版 12
4 ) 個人情報の保護に関する法律(個人情報保護法) ( 2 )
• 個人情報保護の基本原則を規定– 適正な方法による取得– 収集目的の範囲内での利用– 漏えいを防ぐためのセキュリティ対策を実施する 等
• 2005 年 4月より本格施行
第 6 章 > 2. 情報セキュリティに関する法律
参考) 消費者庁 個人情報保護に関するページ http://www.caa.go.jp/seikatsu/kojin/index.html
出典: 情報セキュリティ読本 四訂版 13
4 ) 個人情報の保護に関する法律(個人情報保護法) ( 3 )
1. 利用目的による制限2. 適正な方法による取得3. 内容の正確性確保4. 安全管理措置の実施5. 透明性の確保
第 6 章 > 2. 情報セキュリティに関する法律
個人情報保護の基本原則
出典: 情報セキュリティ読本 四訂版 14
3. 知的財産を守る法律
1 ) 著作権法2 ) 不正競争防止法
第 6 章
出典: 情報セキュリティ読本 四訂版 15
1 ) 著作権法
• 創造性のある思想や表現などの著作物や著作者を保護することが目的
• 著作者人格権と著作財産権に分けられる
– 著作者人格権 公表権、氏名表示権、同一性保持権
– 著作財産権 複製権、上演権、公衆送信権、口述権など
第 6 章 > 3. 知的財産を守る法律
出典: 情報セキュリティ読本 四訂版 16
2 ) 不正競争防止法
• トレードシークレットを保護することが目的
– トレードシークレット著作権や商標権では保護されない、企業の重要な情報であるノウハウや営業秘密等
• 第三者がトレードシークレットを不正入手したり、不正使用することに対し、差止請求権、損害賠償請求権が認められる
第 6 章 > 3. 知的財産を守る法律
出典: 情報セキュリティ読本 四訂版 17
4. 迷惑メール関連法第 6 章
• 2002 年 7月 1日に施行された次の 2つの法律を迷惑メール関連法という– 特定商取引に関する法律(改正法)– 特定電子メールの送信の適正化等に関する法律
• 迷惑メール(スパムメール)の規制が目的• 2005 年の改正→特定電子メールの範囲が拡大され、架空アドレス宛の送信が禁止
• 2008 年の改正→あらかじめ同意したものに対してのみ送信が認められる「オプトイン方式」が導入
• 規定違反のメールを受信した際の連絡先– 一般財団法人日本データ通信協会( http://
www.dekyo.or.jp )– 財団法人日本産業協会 ( http://www.nissankyo.or.jp )
出典: 情報セキュリティ読本 四訂版 18
5. 情報セキュリティ関連制度
1 ) ISMS適合性評価制度2 ) IT セキュリティ評価及び認証制度3 ) 暗号モジュール試験及び認証制度4 ) プライバシーマーク制度5 ) 情報セキュリティ監査制度6 ) コンピュータウイルス及び不正アク
セスに関する届出制度7 ) 脆弱性関連情報に関する届出制度
第 6 章
出典: 情報セキュリティ読本 四訂版 19
1 ) ISMS 適合性評価制度
• 組織の情報セキュリティマネジメントシステム( ISMS )が基準に適合しているかどうかを第三者機関が客観的に評価する制度
• 認証基準は、 JIS Q 27001(ISO/IEC 27001) (第 6 章 p.108 参照)
第 6 章 > 5. 情報セキュリティ関連制度
参考) ISMS適合性評価制度 http://www.isms.jipdec.jp/isms.html
出典: 情報セキュリティ読本 四訂版 20
2 ) IT セキュリティ評価及び認証制度ISO/IEC 15408 に基づき、セキュリティ製品やシステムを評価・認証する制度。認証機関は IPA http://www.ipa.go.jp/security/jisec
第 6 章 > 5. 情報セキュリティ関連制度
出典: 情報セキュリティ読本 四訂版 21
3 ) 暗号モジュール試験及び認証制度
• 暗号モジュールが、 JIS X 19790 に示されたセキュリティ要求事項に適合しているかどうかを第三者機関が客観的に試験・認証する制度
第 6 章 > 5. 情報セキュリティ関連制度
参考) CRYPTREC http://cryptrec.go.jp/
出典: 情報セキュリティ読本 四訂版 22
4 ) プライバシーマーク制度
• 個人情報保護の取り組みが適切であると認められた事業者に、それを認定するプライバシーマークの使用を許可する制度
• 「 JIS Q 15001 個人情報保護に関するマネジメントシステムー要求事項 」に適合しているかどうかを検証
第 6 章 > 5. 情報セキュリティ関連制度
参考) プライバシーマーク制度 http://privacymark.jp/
出典: 情報セキュリティ読本 四訂版 23
5 ) 情報セキュリティ監査制度
• 監査人が、組織の情報セキュリティ対策の状況を客観的に検証・評価し、保証及び助言を行う制度
• 情報セキュリティ管理基準と情報セキュリティ監査基準が策定されている
• 情報セキュリティ監査サービスを行う企業等を登録する情報セキュリティ監査企業台帳がある
第 6 章 > 5. 情報セキュリティ関連制度
参考)情報セキュリティ監査制度 http://www.meti.go.jp/policy/netsecurity/audit.htm
出典: 情報セキュリティ読本 四訂版 24
6 ) コンピュータウイルス及び不正アクセスに関する届出制度
• コンピュータや不正アクセスの届出を受け付ける制度
• コンピュータウイルス対策基準およびコンピュータ不正アクセス対策基準に基づく(経済産業省制定)
• 届出の受付機関として IPA が指定されている
第 6 章 > 5. 情報セキュリティ関連制度
参考)コンピュータウイルスの届出 http://www.ipa.go.jp/security/outline/todokede-j.html 不正アクセスの届出 http://www.ipa.go.jp/security/ciadr/
出典: 情報セキュリティ読本 四訂版 25
7 ) 脆弱性関連情報に関する届出制度
• ソフトウェア製品や Web アプリケーションの脆弱性に関する情報の届出を受け付ける制度
• ソフトウェア等脆弱性関連情報取扱基準に基づく(経済産業省制定)
• 届出の受付機関として IPA が指定されている• 調整機関として JPCERT/CC が指定されてい
る
第 6 章 > 5. 情報セキュリティ関連制度
参考)脆弱性関連情報の届出 http://www.ipa.go.jp/security/vuln/report/
出典: 情報セキュリティ読本 四訂版 26
本資料の利用条件
1. 著作権は独立行政法人情報処理推進機構に帰属します。著作物として著作権法により保護されております。
2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。
3. 営利目的の使用はご遠慮下さい。
4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。
5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。外部よりアクセスできる WEBサイトへの掲載はご遠慮下さい。
6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。なお、参考までに、 [email protected] 宛に以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数
7. ご質問、ご要望等は、 [email protected] 宛にお知らせ下さい。
